Sony nimmt Hack-Risiko und Downtime bewusst in Kauf

Unbekannte drangen Mitte April in die Server des Medienkonzerns Sony ein. Sie konnten Kundendaten von über über 100 Millionen Nutzern entwenden. Doch anstatt sich um eine schnellstmögliche Behebung des Problems zu kümmern, eiern die Verantwortlichen herum. Es scheint, als wären die Entscheidungsträger nicht vorrangig daran interessiert, ihr System schnellstmöglich wieder sicher ans Netz zu bringen.

PSN: Lieber offline als datenschutzfreundlich

Seit Wochen sind Sonys Onlinedienste nun offline, nach der Wut über den mangelnden Schutz der Daten fühlen sich Spieler nun zunehmend um die Möglichkeit zum Onlinespielen betrogen. Zu Recht: Der Multimediaanbieter sämtliche Hebel in der Hand, sofort ein sicheres System ans Netz zu bringen. Aus Kundensicht sollte Sony alle nicht unbedingt benötigenden Datenbestände aus dem System löschen und sein Netzwerk wieder hochfahren. Sony muss doch die Adresse des Spielers nicht wissen, um diesen online spielen zu lassen.

Bereits vor einigen Tagen warf Professor Dr. Eugene Spafford, Sicherheitsexperte an der Purdue Universität, Sony eine Mitschuld am PSN-Hack vor. Sony habe eine völlig veraltete Versionen des Apache-Web-Servers ohne zusätzliche Firewall betrieben. Doch nicht nur die Absicherung des Systeme steht bei Verbrauchern und Datenschützern in der Kritik: Der Konzern hatte unter anderem Namen und Adressen von rund 2500 Teilnehmern eines Gewinnspiels versehentlich online gestellt und einen älteren, nicht mehr benutzter Server aus dem Jahr 2007 am Netz gelassen. Dieser enthielt 12,700 Kreditkarten-Nummern samt Ablaufdatum, die auf diese Weise entwendet werden konnten.

Steam: Kein Feld für die Anschrift

Das ist besonders unverantwortlich, weil diese Systeme angeblich gar nicht mehr benutzt wurden. Sony scheint also schon lange an einmal gesammelten Daten zu hängen. Dass offenbar selbst jetzt noch zwanghaft versucht wird, die Datenbestände zu behalten, blamiert die Verantwortlichen. Sony sollte aus dem Skandal lernen und sich in Datensparsamkeit üben: Wo keine Daten sind, können auch keine gestohlen werden.

Dass es auch anders geht, zeigen Konkurrenten wie Nintendo (Club Nintendo), Microsoft (Xbox Live) oder Valve Software (Steam). Diese Anbieter verlangen zur Registrierung weit weniger Daten, teilweise nur eine E-Mail-Adresse. Nach unserer Einschätzung wäre es Sony auf diese Weise ein leichtes, den Kunden wieder Zugang zu seinen Onlinediensten zu erlauben.

Diese persönlichen Daten wollen Sony-Konkurrenten wissen:

  • Direct2Drive: E-Mail-Adresse, Geburtsdatum, Name, Anschrift, Geschlecht
  • Gamesload: E-Mail-Adresse, Name
  • gog.com: E-Mail-Adresse, Geburtsdatum
  • Nintendo: E-Mail-Adresse, Geburtsdatum, Staat
  • Steam: E-Mail-Adresse
  • XBox Live: E-Mail-Adresse, Geburtsdatum, Vorname, Staat

6 Gedanken zu “Sony nimmt Hack-Risiko und Downtime bewusst in Kauf

  1. Das was da oben steht finde ich dermaßen naiv und unqualifiziert, dass mir jegliche Worte dafür eigentlich besser fehlen sollten: die Situation bei Sony ist eben nicht mit Steam oder Ähnlichem vergleichbar. Man könnte eher argumentieren, dass sie sich zu sehr auf GameSpy verlassen haben und ihr System zu wenig abgesichert. Anders als Microsoft und alles viel zu offen gestaltet – schon allein weil sie das WWW auf ihren Geräten so zulassen.
    Abgesehen davon fehlt jegliche Begründung dafür weshalb ein Problem überhaupt in einer Datensammlung und/oder Richtung Datenschutz bei Adressangaben liegen soll. Diese Angaben bleiben ja wohl weiterhin vorhanden und es können da auch unterschiedlche Daten angegeben beziehungsweise ausgelassen werden.
    Wieso das Ganze mit Einrichtungen die noch mehr bloße Shops sind als Steam, wie Direct2Drive, Gamesload oder gog.com zu tun haben soll kann ich nur mehr absurd nennen.

    Wenn man von der Konsolenwelt keine Ahnung hat sollte man wahrlich besser schweigen – ich schreib schließlich auch nicht über Linux oder E-Sport, wenn ich nicht einmal weiß was ein Dedicated Server ist.
    Der „Club Nintendo“ bietet in einigen größeren Ländern Boni über ein Punkteprogramm ähnlich wie es Disney für gekaufte DVDs etc. auch anbietet – mit Wiiware, DSi-Ware, sonstigem E-Commerce oder Online-Spielen über Nintendo hat das nicht das geringste zu tun.

  2. Ich habe ausgiebig mit Nutzern gesprochen und dabei herausbekommen, dass es keinen (technischen) Grund gibt, für den Sony die Daten bräuchte. Im Gegenteil scheint es recht üblich zu sein, dort falsche Angaben zu machen. (Falschangaben bringen übrigens nichts, wenn man die Felder überhaupt nicht ausfüllen muss.) Dementsprechend würde eine Abkehr von der Datensammlung die Probleme ganz automatisch minimieren: Wo keine Daten sind, gibt es keine Begehrlichkeiten, geschweige denn überhaupt etwas zu holen.

    Dass Club Nintendo das Bonusprogramm von Nintendo ist, ist mir (als Wii-Nutzer) bekannt. Und natürlich muss man da nicht registriert sein, wenn man nur den Wii Shop kanal nutzen will. Allerdings wird der Club-Nintendo-Account unter gewissen Umständen mit dem Wii-Shop-Account verknüpft. Und da der Club Nintendo mehr Daten verlangt als der Shop, haben wir den als Barometer genommen.

  3. Soso, Sie haben also mit Nutzer gesprochen. Haben Sie auch mal mit Sony gesprochen? Übrigens sind die Behauptungen von Dr. Spafford schon seit Tagen widerlegt. Ein Blick in den Google Cache reicht, um festzustellen, das die Sony Server mindestens seit Anfang März auf dem aktuellen Stand waren. Wie Herr Mayer schon anmerkte. Unqualifiziert und naiv.

  4. Hallo Herr Schönfeldt,
    Bitte beantworten Sie doch die Frage. Haben Sie mit Sony gesprochen oder basieren Ihre Vorwürfe nur auf Hörensagen und Spekulationen?

    • Die genannten Fakten basieren auf Recherche. Dass Sony mehr Daten verlangt, als für den Betrieb notwendig, steht außer Zweifel. Das lässt sich unter anderem aus Umfragen ablegen, nach denen Nutzer oftmals falsche Agaben machen, ohne einen Nachteil davon zu tragen.

      Ebenso unstrittig ist die Feststellung, dass man Daten nicht 100%ig gegen Angriffe schützen kann. Das gilt unabhängig davon, ob Dr. Spaffords Angaben nun korrekt waren oder nicht. (Hier scheint die Lage offenbar nicht ganz eindeutig zu sein.) Eine Stellungnahme, warum genau Sony die genannten Daten erhebt und (lange) speichert, war leider nicht zu bekommen. (Die Informationspolitik des Konzerns steht nicht zu Unrecht in der Kritik.)

  5. Sehr interessante Ansicht und Infos.
    Vielen Dank dafür.

    Gesamt gesehen hat Sony einiges an Mist gebaut und schafft es nun anscheinend nicht, das schnell wieder zu bereinigen.
    Und was noch ist. Wie viele Firmen haben diverse Datenbanken mit unzähligen Daten, die eigentlich für die Firma absolut unrelevant sind?
    Da gehört eigentlich von den Gesetzgebern ein Riegel vorgeschoben!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.